Proofpoint, 97% of the nation's top 100 universities are not actively blocking fraudulent emails
국내 주요 대학 75%, DMARC를 채택하지 않아 학생과 교직원의 민감 개인 정보를 노린 사이버 공격에 대한 대응 능력 떨어져
(서울, 2023년 9월 19 십구) 글로벌 사이버보안 및 컴플라이언스 기업인 프루프포인트는 국내 주요 대학 100개(대학알리미 2022년 재학생 수 기준)를 대상으로 진행한 이메일 인증 프로토콜 분석 결과를 발표했다.
프루프포인트가 국내 주요 대학을 대상으로 진행한 연구 결과에 따르면 연구 대상 대학의 대다수(75%)가 대학 정보 보호에 필수적인 이메일 인증 프로토콜을 갖추고 있지 않아 학생, 협력 기관 및 교직원이 이메일 사기에 쉽게 노출될 수 있는 것으로 나타났다.
DMARC(Domain-based Message Authentication, Reporting & Conformance)는 사이버 범죄자가 이메일 도용(스푸핑, spoofing)하는 것을 막도록 설계된 이메일 인증 프로토콜이다. DMARC는 이메일이 정해진 수신자에게 전달되기 전에 발신자의 신원을 인증하여 이메일 사기 위험을 줄여준다. DMARC를 채택한 기업은 세 가지 보호 수준으로 스푸핑을 막을 수 있다.
첫 번째는 ‘모니터(Monitor)’로, 인증되지 않은 이메일이 수신자의 받은 편지함 또는 기타 폴더로 이동하도록 허용하는 수준이다. 두 번째는 ‘검역(Quarantine)’으로, 인증되지 않은 이메일을 걸러내 휴지통 또는 스팸 폴더로 보내는 수준이다. 마지막으로 ‘거부(Reject)’는 인증되지 않은 이메일이 수신자에게 도달하지 못하도록 차단하는 가장 높은 보호 수준을 의미한다.
조사 대상 대학 중 약 25%가 이메일 인증 프로토콜을 갖췄지만, 이메일 사기로부터의 보호 수준은 각각 상이했다. 이중 18%는 ‘모니터’ 수준, 4%는 ‘검역’ 수준의 DMARC 프로토콜을 채택해 인증되지 않은 이메일이 수신자의 이메일에 도달하고 있었다. 단 3%만이 현재 권장되는 엄격한 수준의 DMARC 프로토콜을 채택한 것으로 나타났다. 이는 분석 대상인 100대 주요 대학 97%가 사기성 이메일을 적극적으로 차단하지 못하고 있다는 것을 의미한다.
제니퍼 청(Jennifer Cheng) 아시아지역 사이버 보안 전략 책임자(Cybersecurity Strategy Director for APJ)은 "대학은 학생 및 교직원의 성명, 주민번호, 여권정보, 은행 정보 등 민감한 개인정보를 보유하고 있기 때문에 해커들에게 매력적인 타깃이 될 수 있다"며, “전 세계적으로 대학을 타깃으로 한 사이버 범죄가 늘고 있는데, 학생과 직원의 개인 정보를 빼내기 위해 학교 부서 및 정부 부처 메일로 위장해 접근하거나 가짜 랜딩 페이지를 통해 정보 유출을 유도하는 등 다양한 수법이 활용되고 있다”고 말했다. 또한 그는 “DMARC와 같은 이메일 인증 프로토콜은 이메일 사기를 방지하고 악의적인 공격으로부터 학생, 교직원 및 동문을 보호할 수 있다”고 덧붙였다.
한편, 프루프포인트가 올해 발간한 피싱 현황(State of the Phish) 보고서에 따르면, 지난해 글로벌 기관의 4분의 3이 이메일 사기(BEC) 공격 시도를 보고했다. 국내 기관의 52%가 작년에 이메일 사기(BEC) 공격을 경험했고, 그 결과 15%가 직접적인 금전적 손실을 봤다. 또한 기관의 72%가 작년에 랜섬웨어 공격을 경험했으며, 48%가 감염되었다. 최근 발표된 피싱 현황 보고서는 한국을 포함하여 15개국에서 7,500명의 직원과 1,050명의 IT 보안 전문가를 대상으로 작성되었다.
###
학생, 교직원 및 기타 협력 기관 관계자를 위한 이메일 보안수칙:
• 모든 이메일의 유효성을 확인 및 교육 기관 사칭한 잠재적 사기성 이메일 주의
• 로그인 정보를 요구하거나 메일 내 특정 링크를 클릭하지 않으면 이메일 서비스 또는 계정을
중단하겠다고 위협하는 공격 시도 주의
• 강력한 비밀번호 사용, 주기적인 비밀번호 변경 및 계정별 비밀번호 설정 등 비밀번호 관리
각별히 유의
DMARC 분석 결과 요약
• 97%의 대학이 현재 권장되는 수준인 가장 엄격한 수준의 DMARC를 채택하지 않음
• 25%의 기업이 DMARC를 채택하고 있지만, 기업마다 보안 수준 상이함
▪ 3%는 가장 엄격한 수준의 DMARC를 채택해 인증되지 않은 이메일이 수신자에게 도달하지 못하도록 차단하고 있음(거부(Reject) 수준)
▪ 4%는 인증되지 않은 이메일을 휴지통 또는 스팸 폴더로 보내고 있음(검역(Quarantine) 수준)
▪ 18%는 인증되지 않은 이메일이 수신자의 받은 편지함 또는 기타 폴더로 이동하고 있으며 이메일 발신자가 이메일 출처에 대한 정보 수집 가능함 (모니터(Monitor) 수준)
• 75%의 대학이 DMARC 채택하지 않았으며 이메일 사기 및 도메인 스푸핑 공격에 노출됨
* 위 연구는 대학알리미 공시 내용 중 2022년 재학생 수 기준으로 8월에 실시함
프루프포인트 소개
프루프포인트는 기업의 가장 큰 자산과 가장 큰 위험인 ‘사람’을 보호하는 선도적인 사이버 보안 기업이다. 프루프포인트는 클라우드 기반 솔루션의 통합 제품 라인업을 통해 전 세계 기업이 표적 위협을 차단하고 데이터를 보호하며 사용자가 사이버 공격에 대해 보다 탄력적으로 대처할 수 있도록 지원한다. 포춘(Fortune) 100대 기업의 85%를 포함한 모든 규모의 선도기업은 프루프포인트의 보안 솔루션을 사용한다. 프루프포인트는 이메일, 클라우드, 소셜 미디어 및 웹 전반에 걸쳐 있는 위험을 완화하는 사람 중심의 보안 솔루션을 제공하고 있다. 자세한 내용은 프루프포인트 공식 홈페이지(www.proofpoint.com)에서 확인할 수 있다.